附註：

• 此教學課程需要存取 Oracle Cloud。若要註冊免費帳戶，請參閱開始使用 Oracle Cloud Infrastructure Free Tier 。
• 其使用 Oracle Cloud Infrastructure 證明資料、租用戶以及區間的範例值。完成實驗室時，請將這些值替代為雲端環境特定的值。

設定兩個用戶與其動態路由閘道之間的 RPC 連線

簡介

在多租用戶的 Oracle Cloud Infrastructure (OCI) 環境中，啟用不同租用戶之間的安全且有效率的通訊對混合式和分散式網路架構而言至關重要。若要達到此目的，其中一個方法是設定兩個用戶之間的遠端對等互連連線 (RPC)，以及其對應的動態路由閘道 (DRG)。

目標

• 在不同的 OCI 租用戶中設定兩個 DRG 之間的 RPC，以確保網路間的無縫連線。最後，您的工作 RPC 設定可讓用戶之間的安全流量流通，協助您在 OCI 中建立強大的多用戶架構。

必備條件

• 存取兩個 OCI 租用戶：您需要兩個 OCI 租用戶的管理員或適當權限，才能設定網路元件。

• 兩個租用戶中的 DRG：每個租用戶都必須已建立 DRG，並將其連附至虛擬雲端網路 (VCN)。

• 區域相容性： DRG 必須位於支援 RPC 的相同或不同的 OCI 商業區域。支援跨區域 RPC，但必須同時存取兩個區域。要求者必須訂閱「接受者」區域。

• 公用或專用連線：決定是否允許透過專用 IP 進行通訊，並確保計畫適當的子網路 CIDR 區塊以避免衝突。

• VCN 和路由組態：兩個用戶中的 VCN 都必須正確設定路由表和安全清單，以允許通過 RPC 的流量。

• 跨租用戶對等互連原則：確保已制定 Oracle Cloud Infrastructure Identity and Access Management (OCI IAM) 原則，以允許跨不同 OCI 租用戶的 DRG 對等互連。您可能需要定義兩個用戶的原則以建立信任。

工作 1：決定要求者與接受者用戶

在 Oracle Cloud Infrastructure (OCI) 中，設定跨雲端通訊或資源共用時，必須根據 OCI IAM 原則，定義哪些租用戶是要求者，以及哪些是接受者。這些角色是由 OCI IAM 原則所管理，這些原則定義使用者、群組及區間的權限。

透過在 OCI IAM 原則中清楚定義「要求者」和「接受者」角色，確保已正確設定權限，以允許跨 OCI 租用戶和區間對資源進行安全、受控制的存取。兩個租戶都需要共同合作，以確保獲得適當的權限，並遵循安全性最佳實務來設定 OCI IAM 原則。

• 要求者租用戶：要求者是 OCI 租用戶 (或租用戶內的特定區間)，可起始從其他 OCI 租用戶或區間存取資源的要求。要求者的 OCI IAM 原則必須授予必要的權限，才能存取接受者的資源。例如，「要求者」可能需要建立允許其使用者存取「接受者」用戶中資源的原則。

  要求者還必須確定將正確的 OCI IAM 角色指定給提出要求的使用者或群組。

• 接受者租用戶：接受者是接收存取要求的 OCI 租用戶 (或區間)，並授予要求者的必要權限。接受者的 OCI IAM 原則必須定義要求者可執行的動作，以及可存取的資源。「接受者」的原則也應指定允許接受這類要求的使用者或群組，以確保安全地管理存取。

  除了授予存取權之外，接受者還應設定 OCI IAM 原則，以指定要求者有權執行的工作，確保遵循適當的範圍和最低權限原則。

下圖顯示兩個與 RPC 互相連線之用戶的範例，其中其中一個定義為「要求者 (REQ)」，另一個定義為「接受者 (ACC)」。

作業 2：訂閱請求者區域的接受者區域

在設定兩個 OCI 租用戶之間的 RPC 的相關資訊環境中，要求者必須訂閱「接受者」租用戶區域，而「接受者」則不需要訂閱「要求者」區域。以下是原因：

要求者為何需要訂閱接受者租用戶：

• 起始通訊：要求者用戶是透過傳送要求給接受者用戶來起始 RPC 的個體。若要允許此通訊，「要求者」必須訂閱「接受者」，讓「接受者」能夠辨識並連線至「接受者」的網路和服務。

• 建立信任和連線：透過訂閱「接受者」租用戶，要求者租用戶會建立與接受者環境互動所需的信任和連線。訂閱可確保要求者可以透過對等互連連線，將流量和要求正確遞送至接受者的服務。

為什麼接受者不需要訂閱要求者租用戶：

• 接受者的被動角色：接受者用戶只會接收來自要求者用戶的要求，不會起始任何通訊。因為「接受者」僅回應「要求者」提出的要求，所以不需要訂閱「要求者」。它只需要可供存取和設定，即可處理內送要求。

• 單向通訊： RPC 通常是以單向通訊流程來設定，其中「要求者」是啟動器。接受者不需要訂閱要求者租用戶，因為不需要起始或管理外送連線。

總而言之，「要求者」必須訂閱「接受者」才能起始 RPC 並建立連線，而「接受者」只需要設定為回應要求，且不需要訂閱「要求者」用戶。

在下列影像中，您會看到 Requestors OCI 主控台的範例。請注意，「要求者」已訂閱「接受者」區域。

在下列影像中，您將看到 Acceptors OCI 主控台的範例。請注意，「接受者」未訂閱「要求者」區域。

作業 3：收集必要的參數

收集必要的參數，以建立要求者和接受者端的 OCI IAM 原則。下表顯示在 OCI 中設定遠端程序呼叫存取時，接受者和要求者租用戶在 OCI IAM 原則中所需的欄位：

必要的資訊	要求者用戶	接受者承租人
租用戶 OCID	X	X
群組名稱	X
群組 OCID	X
隔間名稱	X	X

建立 OCI IAM 原則之前，請先確定已從兩端收集此資訊。

工作 4：在要求者和接受者端建立及設定 OCI IAM 原則

這裡提供官方的 OCI IAM 原則文件，以執行 RPC 工作：使用升級的 DRG 遠端對等互連。

當您查看原則時，您會看到在要求者的 OCI IAM 原則中，需要接受者提供一些資訊，對於接受者 OCI IAM 原則，要求者需要一些資訊。這使得建立策略有時會令人困惑，如果策略不正確，RPC 將不會出現，也很難進行疑難排解。

為了克服這個問題，我們建立了 RPC IAM 原則工具。有更多可用的 RPC 網路架構，但只有在您嘗試在兩個不同的 OCI 租用戶之間建立 RPC 時 (每個租用戶都有自己的 DRG)，才能使用 RPC IAM 原則工具。

在以下影像中，您將看到 RPC IAM 原則工具提供插入所有必要詳細資訊的表單。表單會要求提供實際必要的詳細資訊，但建議您在開始設定「接受者」和「要求者」端的 RPC 和 OCI IAM 原則之前，先將所有資訊集中在一個位置。

要求者資訊和參數會以紅色標示，接受者資訊和參數則以藍色標示。

下圖顯示所有已填入資訊的範例。輸入所有必要欄位，然後按一下送出。

此工具將產生下列資訊：

• 包含用來將事物放入透視之參數的圖表。
• 包含您所有使用之參數的表格 (因此您可以擷取此畫面，或將此複製到附註中以供日後參考)。
• 要求者的 OCI IAM 原則。
• 接受者的 OCI IAM 原則。

工作 4.1：在要求端建立並設定 OCI IAM 原則

1. 登入 OCI 主控台，瀏覽至身分識別與安全性，然後按一下原則。

2. 請務必選取根區間，然後按一下建立原則。

   

3. 輸入以下資訊，然後按一下建立。

   • 輸入原則的名稱和說明。
   • 選取顯示手動編輯器。
   • 將「要求者」端的原則敘述句複製到原則中。

   

   建立原則時，您會看到設定的原則敘述句。

   

   當您返回原則總覽頁面時，將會看到已設定的原則。

   

工作 4.2：在接受者端建立並設定 OCI IAM 原則

1. 登入 OCI 主控台，瀏覽至身分識別與安全性，然後按一下原則。

2. 請務必選取根區間，然後按一下建立原則。

   

3. 輸入以下資訊，然後按一下建立。

   • 輸入原則的名稱和說明。
   • 選取顯示手動編輯器。
   • 將「接受者」端的原則敘述句複製到原則中。

   

   建立原則時，您會看到設定的原則敘述句。

   

   當您返回原則總覽時，將會看到已設定的原則。

   

工作 5：在要求端和接受端設定 DRG 上的 DRG 連附項

我們必須在「要求者」和「接受者」端建立 RPC。

作業 5.1：在請求者端建立 RPC

1. 前往 OCI 主控台，瀏覽至網路，然後按一下動態路由閘道。

2. 按一下遠端對等連線連附項和建立遠端對等連線。

   

3. 輸入名稱，然後按一下建立遠端對等互連連線。

   

作業 5.2：在接受者端建立 RPC

1. 前往 OCI 主控台，瀏覽至網路，然後按一下動態路由閘道。

2. 按一下遠端對等互連連線附件和建立遠端對等互連連線。

   

3. 輸入名稱，然後按一下建立遠端對等互連連線。

   

4. 請從接受者端收集 RPC OCID，因為我們需要使用此 OCID 從要求者端建立 RPC 連線。

   

工作 6：從要求端建立連線

1. 從要求者端前往 OCI 主控台，瀏覽至網路、動態路由閘道，然後按一下遠端對等互連連線連附項。

2. 按一下在「任務 5」中建立的遠端對等互連連線 (為「接受者」端設定)。

3. 按一下建立連線。

   

4. 輸入下列資訊並按一下建立連線。

   • 選取接受者區域。
   • 貼上在任務 5 中收集的 RPC OCID 。

   

   如果要求者已訂閱「接受者」區域，且已設定正確的 OCI IAM 原則，且正確的 RPC OCI，則對等互連狀態應在要求者端變更為對等互連。

   

   您可以按一下 RPC 以查看對等互連的其他資訊。

   • 請注意，對等狀態為對等。
   • 請注意，對等區域為 Jeddah 。
   • 請注意，這是跨租用戶對等互連。

   

5. 我們也可以驗證「接受者」端的對等互連狀態。

   1. 從接受者端前往 OCI 主控台，瀏覽至網路、動態路由閘道，然後按一下遠端對等互連連線連附項。

   2. 按一下為「要求者」端設定的遠端對等互連連線。

   3. 請注意，接受者端的對等互連狀態也會設為對等互連。

   

   您可以按一下 RPC 以查看對等互連的其他資訊。

   • 請注意，對等狀態為對等。
   • 請注意，對等區域為利雅德。
   • 請注意，這是跨租用戶對等互連。

   

工作 7：使用三個或更多租用戶設計 RPC 架構

您也可以在兩個以上的網站或用戶之間建立 RPC 連線。

• 在下圖中，您可以使用三個不同的用戶：

  • OCI 利雅德 (要求者)
  • OCI Jeddah (接受者)
  • OCI 杜拜 (接受者)

  在此範例中，Riyadh 將是某種集線器網站，它將作為兩個接受者的要求者。

  

• 在下圖中，您可以使用三個不同的用戶：

  • OCI 利雅德 (要求者)
  • OCI Jeddah (要求者 + 接受者)
  • OCI 杜拜 (接受者)

  在此範例中，Riyadh 將成為 Jeddah 的要求者，而 Jeddah 將成為杜拜的要求者。

  

• 在下圖中，您可以使用三個不同的用戶：

  • OCI 利雅德 (要求者 + 接受者)
  • OCI Jeddah (接受者)
  • OCI 杜拜 (要求者)

  在此範例中，Riyadh 將是 Jeddah 的要求者與 Dubai 的接受者。

  

結論

在兩個 OCI 租用戶之間設定 RPC 需要仔細規劃、精確的組態，以及正確的 OCI IAM 原則。遵循此逐步教學課程，您已順利在個別租用戶的兩個 DRG 之間建立安全且功能強大的 RPC。此連線可實現跨網路的無縫通訊，這是建置可擴展和多租用戶 OCI 架構的重要元件。

為了簡化流程並消除潛在原則錯誤， RPC IAM 原則工具提供了為要求者和接受者用戶產生必要 OCI IAM 原則的簡便方式。確定您的原則、DRG 連附項和區域訂閱已正確設定，將可確保對等互連設定順暢。

除了基本 RPC 組態之外，使用三個或更多租用戶設計多租用戶架構，可為您的 OCI 網路增加更多彈性和擴展性。瞭解每個用戶的角色 (無論作為要求者、接受者或兩者) 可讓您建置支援混合式和分散式工作負載的強大、互連環境。

透過利用 OCI 的網路功能，您可以建立安全、可擴展且高效能的跨租用戶架構，以符合企業網路最佳實務。如果發生問題，請重新查看 OCI IAM 原則和 DRG 組態是疑難排解的絕佳第一步。

有了這項知識，您現在可以在 Oracle Cloud Infrastructure 中建立及擴充 RPC 連線，以滿足組織的網路需求。

確認

• 作者 - Iwan Hoogendoorn (OCI 網路專家)

其他學習資源

在 docs.oracle.com/learn 上探索其他實驗室，或在 Oracle Learning YouTube 頻道上存取更多免費學習內容。此外，請造訪 education.oracle.com/learning-explorer 以成為 Oracle Learning Explorer。

如需產品文件，請造訪 Oracle Help Center 。

---

標題與著作權資訊

Set up RPC Connection between Two Tenants and their Dynamic Routing Gateways

G30595-03

Copyright ©2025,2026,

Oracle 和 (或) 其關係企業。